VPC je soukromý, izolovaný oddíl veřejného cloudu (např. AWS, Azure, Google Cloud), ve kterém můžeme spouštět naše firemní prostředky (servery VPS, databáze, úložiště) v definované virtuální síti. VPC nám poskytuje logickou izolaci od ostatních zákazníků v cloudu a dává nám plnou kontrolu nad síťovým prostředím.

V rámci našeho VPC definujeme:

• IP adresní prostor: Používáme privátní rozsahy (např. 10.0.0.0/16).
• Podsítě (Subnets): Rozdělení sítě na veřejné (přístupné z internetu) a soukromé (izolované).
• Směrovací tabulky (Route Tables): Pravidla pro směřování provozu mezi podsítěmi a internetem.
• Brány (Gateways): Internet Gateway pro veřejný přístup a VPN Gateway pro propojení s naší firemní WAN.

VPC je základním kamenem naší kybernetické bezpečnosti:

• Network ACLs (NACL): Bezstavová kontrola provozu na úrovni podsítě.
• Security Groups: Stavový firewall na úrovni jednotlivých instancí (VPS), který určuje, jaký provoz je povolen (např. pouze port 443).
• Web Application Firewall: Předřazen před veřejné podsítě pro ochranu aplikací jako Jira před útoky.

Naše VPC není izolovaný ostrov. Je integrováno do celku pomocí:

• Site-to-Site VPN / Direct Connect: Šifrované propojení našeho VPC s firemní centrálou přes SD-WAN.
• VPC Peering: Bezpečné propojení mezi různými VPC (např. mezi vývojovým a produkčním prostředím).
• VXLAN: Může být použito pro rozšíření L2 konektivity mezi naším datovým centrem a cloudovým VPC.

Pravidlo: Žádná instance ve VPC nesmí mít veřejnou IP adresu, pokud k tomu není výslovný souhlas bezpečnostního oddělení. Pro přístup k soukromým instancím vždy používejte firemní VPN nebo Bastion host.

— Související stránky: VPS, WAN, SD-WAN, Kybernetická bezpečnost, WAF, ZIF, VXLAN